-
09/04/2020
-
122
-
1.389 bài viết
Lỗ hổng nghiêm trọng trong Apache Tika bị khai thác qua PDF độc hại
Một lỗ hổng nghiêm trọng vừa được công bố trong Apache Tika với mã định danh CVE-2025-66516. Lỗi được đánh giá ở mức CVSS 10, mức cao nhất trong thang đo rủi ro và cho phép tin tặc thực hiện tấn công XML External Entity thông qua các tệp XFA được nhúng trong tài liệu PDF.
Khi máy chủ xử lý tài liệu chứa XFA độc hại, kẻ tấn công có thể can thiệp vào quá trình phân tích XML của ứng dụng và chiếm quyền truy cập vào các tệp trong hệ thống, đánh cắp dữ liệu nội bộ hoặc khiến dịch vụ ngừng hoạt động. Một số trường hợp nghiêm trọng thậm chí có thể dẫn đến thực thi mã từ xa tùy theo cấu hình hệ thống.
Điểm đáng chú ý của lỗ hổng nằm ở phạm vi ảnh hưởng rộng hơn nhiều so với đánh giá ban đầu. Trước đây, CVE-2025-54988 được công bố với giả định rằng lỗ hổng chỉ tồn tại trong mô đun phân tích PDF. Phân tích mới xác nhận thành phần chịu trách nhiệm thực sự là tika-core, biến nhiều hệ thống tưởng chừng đã an toàn thành mục tiêu tiếp tục bị khai thác vì chỉ cập nhật mô đun PDF mà không nâng cấp core.
Các phiên bản bị ảnh hưởng bao gồm:
Các nhà phát triển Apache Tika cũng chỉ ra một thiếu sót trong cảnh báo CVE cũ. Ở dòng sản phẩm Tika 1.x, PDFParser không tồn tại dưới dạng mô đun độc lập mà được tích hợp thẳng trong gói tika-parsers. Điều này khiến nhiều triển khai đời cũ không được cập nhật đúng phạm vi trong khuyến nghị trước đó và vô tình duy trì lỗ hổng trong hệ thống.
Đánh giá chính thức cho biết CVE-2025-66516 thực chất cùng bản chất với CVE-2025-54988 nhưng được mở rộng để phản ánh đầy đủ phạm vi ảnh hưởng và vị trí chính xác của lỗi. Sự điều chỉnh này giúp các tổ chức tránh tình trạng cập nhật thiếu sót và bỏ lỡ thành phần quan trọng nhất cần vá.
Để khắc phục hoàn toàn, người dùng cần nâng cấp Tika core lên phiên bản 3.2.2 trở lên. Các hệ thống sử dụng Tika 1.x phải chuyển sang phiên bản tika-parsers 2.0.0 hoặc mới hơn để loại bỏ điểm yếu. Việc triển khai bản vá cần được ưu tiên hàng đầu vì khả năng khai thác qua PDF độc hại diễn ra âm thầm và có thể gây hậu quả nghiêm trọng cho toàn bộ hạ tầng.
Các đội ngũ an ninh mạng được khuyến nghị rà soát lại toàn bộ môi trường triển khai Apache Tika để đảm bảo tất cả thành phần liên quan đã được cập nhật. Với mức độ nghiêm trọng được xếp tối đa và khả năng khai thác qua tài liệu phổ biến như PDF, lỗ hổng này cần được xử lý khẩn cấp nhằm ngăn chặn rủi ro xâm nhập và rò rỉ dữ liệu.
Khi máy chủ xử lý tài liệu chứa XFA độc hại, kẻ tấn công có thể can thiệp vào quá trình phân tích XML của ứng dụng và chiếm quyền truy cập vào các tệp trong hệ thống, đánh cắp dữ liệu nội bộ hoặc khiến dịch vụ ngừng hoạt động. Một số trường hợp nghiêm trọng thậm chí có thể dẫn đến thực thi mã từ xa tùy theo cấu hình hệ thống.
Điểm đáng chú ý của lỗ hổng nằm ở phạm vi ảnh hưởng rộng hơn nhiều so với đánh giá ban đầu. Trước đây, CVE-2025-54988 được công bố với giả định rằng lỗ hổng chỉ tồn tại trong mô đun phân tích PDF. Phân tích mới xác nhận thành phần chịu trách nhiệm thực sự là tika-core, biến nhiều hệ thống tưởng chừng đã an toàn thành mục tiêu tiếp tục bị khai thác vì chỉ cập nhật mô đun PDF mà không nâng cấp core.
Các phiên bản bị ảnh hưởng bao gồm:
- Tika core từ 1.13 đến 3.2.1.
- Tika-parser-pdf-module từ 2.0.0 đến 3.2.1.
- Tika-parsers từ 1.13 đến trước 2.0.0.
Các nhà phát triển Apache Tika cũng chỉ ra một thiếu sót trong cảnh báo CVE cũ. Ở dòng sản phẩm Tika 1.x, PDFParser không tồn tại dưới dạng mô đun độc lập mà được tích hợp thẳng trong gói tika-parsers. Điều này khiến nhiều triển khai đời cũ không được cập nhật đúng phạm vi trong khuyến nghị trước đó và vô tình duy trì lỗ hổng trong hệ thống.
Đánh giá chính thức cho biết CVE-2025-66516 thực chất cùng bản chất với CVE-2025-54988 nhưng được mở rộng để phản ánh đầy đủ phạm vi ảnh hưởng và vị trí chính xác của lỗi. Sự điều chỉnh này giúp các tổ chức tránh tình trạng cập nhật thiếu sót và bỏ lỡ thành phần quan trọng nhất cần vá.
Để khắc phục hoàn toàn, người dùng cần nâng cấp Tika core lên phiên bản 3.2.2 trở lên. Các hệ thống sử dụng Tika 1.x phải chuyển sang phiên bản tika-parsers 2.0.0 hoặc mới hơn để loại bỏ điểm yếu. Việc triển khai bản vá cần được ưu tiên hàng đầu vì khả năng khai thác qua PDF độc hại diễn ra âm thầm và có thể gây hậu quả nghiêm trọng cho toàn bộ hạ tầng.
Các đội ngũ an ninh mạng được khuyến nghị rà soát lại toàn bộ môi trường triển khai Apache Tika để đảm bảo tất cả thành phần liên quan đã được cập nhật. Với mức độ nghiêm trọng được xếp tối đa và khả năng khai thác qua tài liệu phổ biến như PDF, lỗ hổng này cần được xử lý khẩn cấp nhằm ngăn chặn rủi ro xâm nhập và rò rỉ dữ liệu.
Theo The Hacker News
Chỉnh sửa lần cuối: